翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 仮想データセンターマネージドサービス
<a name="vdms"></a>

Virtual Data Center Managed Services (VDMS) の目的は、ホストセキュリティと共有データセンターサービスを提供することです。VDMS の関数は、SCA のハブで実行することも、ミッション所有者がその一部を独自にデプロイすることもできます AWS アカウント。このコンポーネントは、 AWS 環境内で提供できます。VDMS の詳細については、[DoD クラウドコンピューティングセキュリティ要件ガイド](https://public.cyber.mil/dccs/dccs-documents/)を参照してください。

次の表に、VPS の最小要件を示します。LZA が各要件を満たすかどうか、およびこれらの要件を満たすために AWS のサービス 使用できるものについて説明します。


****  

| ID | VDMS セキュリティ要件 | AWS テクノロジー | その他のリソース | LZA の対象 | 
| --- | --- | --- | --- | --- | 
| 2.1.3.1 | VDMS は、CSE 内のすべてのエンクレーブを継続的にモニタリングするために、Assured Compliance Assessment Solution (ACAS)、または承認された同等のものを提供するものとします。 | [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)<br />[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)<br />[AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)<br />[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) | [Amazon Inspector による脆弱性スキャン](https://catalog.us-east-1.prod.workshops.aws/secure-windows/en-US/vulnerability-management/inspector) | 部分的にカバー | 
| 2.1.3.2 | VDMS は、CSE 内のすべてのエンクレーブのエンドポイントセキュリティを管理するために、ホストベースのセキュリティシステム (HBSS) または承認された同等のものを提供するものとします。 | 該当なし | 該当なし | 対象外 | 
| 2.1.3.3 | VDMS は、リモートシステム DoD 共通アクセスカード (CAC) の DoD 特権ユーザーの CSE 内でインスタンス化されたシステムへの 2 DoD 要素認証用のオンライン証明書ステータスプロトコル (OCloud ワークロードセキュリティ) レスポンダーを含む ID サービスを提供します。 | 多要素認証 (MFA) は以下を通じて利用できます。<br />[AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)<br />[AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)<br />[AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)<br />[AWS Private Certificate Authority](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) | [Amazon WorkSpaces の CAC カードを設定する](https://docs.aws.amazon.com/workspaces/latest/adminguide/smart-cards.html) | 部分的にカバー | 
| 2.1.3.4 | VDMS は、CSE 内のすべてのエンクレーブのシステムおよびアプリケーションを提供する設定および更新管理システムを提供するものとします。 | [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html)<br />[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) | [によるパッチ管理の自動化 AWS Systems Manager](https://www.youtube.com/watch?v=1bLJdJ4zryU) (YouTube 動画) | 部分的にカバー | 
| 2.1.3.5 | VDMS は、CSE 内のすべてのエンクレーブのディレクトリアクセス、ディレクトリフェデレーション、動的ホスト設定プロトコル (DHCP)、ドメインネームシステム (DNS) を含む論理ドメインサービスを提供します。 | [AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)<br />[Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)<br />[Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) | [VPC の DNS 属性を設定する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html) | 部分的にカバー | 
| 2.1.3.6 | VDMS は、ユーザーおよびデータネットワークから論理的に分離された CSE 内のシステムおよびアプリケーションを管理するためのネットワークを提供するものとします。 | [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)<br />[Amazon VPC サブネット](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) | 該当なし | 対象 | 
| 2.1.3.7 | VDMS は、BCP および MCP アクティビティを実行する特権ユーザーによるイベントログの一般的な収集、保存、アクセスのためのシステム、セキュリティ、アプリケーション、およびユーザーアクティビティイベントのログ記録とアーカイブシステムを提供するものとします。 | [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)<br />[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)<br />[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)<br />[Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) | [OpenSearch を利用した統合ログ記録](https://aws.amazon.com/solutions/implementations/centralized-logging-with-opensearch/) | 対象 | 
| 2.1.3.8 | VDMS は、クラウドシステムのプロビジョニング、デプロイ、設定を可能にするために、DoD 特権ユーザー認証および認可属性を CSP の Identity and Access 管理システムと交換するために を提供するものとします。 | [AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) | [AWS Managed Microsoft AD セキュリティ設定の強化](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_network_security.html) | 対象外 | 
| 2.1.3.9 | VDMS は、TCCM ロールのミッションと目的を実行するために必要な技術的能力を実装します。 | [AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)<br />[IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)<br />[AWS IAM アイデンティティセンター](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) | 該当なし | 部分的にカバー | 

 

次の図に示すように、LZA は VDMS の基本要件を満たすための基本コンポーネントを配置します。VDMS 標準を満たすために、LZA がデプロイされた後に設定する必要がある追加のコンポーネントがいくつかあります。前の表で、**追加リソース**列のリンクを確認してください。これらのリンクは、これらの追加項目の設定や、セキュリティの強化に役立ちます。



![SCCA VDMS 要件を満たすのに役立つ LZA コンポーネントのアーキテクチャ図。](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/secure-architecture-dod/images/organizational-units.png)


## 補足サービス統合
<a name="supplemental-service-integration"></a>

前の表の追加**リソース**列には、VPS 要件を満たすために LZA を拡張するのに役立つリソースが一覧表示されています。 AWS には、安全なクラウドアーキテクチャの設定に役立つワークショップ資料もいくつか用意されています。変更なしでは、LZA は IL4/IL5 要件を満たしますが、環境のセキュリティを強化するために追加のサービスをデプロイできます AWS 。

例えば、Amazon Inspector は、ソフトウェアの脆弱性や意図しないネットワークへの露出について AWS ワークロードを継続的にスキャンする脆弱性管理サービスです。これを使用して、Windows や Linux などのホストオペレーティングシステムの脆弱性を特定して調査できます。Amazon Inspector は、ホストベースのセキュリティシステム (HBSS) に必要なすべての要件を完全には組み込まない場合がありますが、少なくともインスタンスの基本レベルの脆弱性評価を提供します。

## オペレーティングシステムのパッチ適用
<a name="operating-system-patching"></a>

オペレーティングシステムのパッチ適用は、安全な環境を運用するためのコアコンポーネントです。 AWS は、パッチベースラインの一貫性を維持し、パッチのデプロイを自動化するために AWS Systems Manager、の一機能である [Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html) を提供し、使用を推奨します。Patch Manager は、セキュリティ関連の更新と他のタイプの更新の両方を使用してマネージドノードにパッチを適用するプロセスを自動化します。

Patch Manager を使用して、オペレーティングシステムとアプリケーションの両方にパッチを適用することができます。(Windows Server では、アプリケーションのサポートは、Microsoft がリリースしたアプリケーションの更新に制限されています)。詳細については、 AWS クラウドオペレーションと移行ブログの[AWS Systems Manager 「Patch Manager を使用したマルチステップのカスタムパッチプロセスのオーケストレーション](https://aws.amazon.com/blogs/mt/orchestrating-custom-patch-processes-aws-systems-manager-patch-manager/)」を参照してください。

Patch Manager を使用する手順については、 step-by-step[AWS 「 管理およびガバナンスツールワークショップ](https://mng.workshop.aws/ssm/use-case-labs/inventory_patch_management/patch.html)」を参照してください。

での Microsoft Windows ワークロードの保護の詳細については AWS、[AWS 「 ワークショップでの Windows ワークロードの保護」を参照してください。](https://catalog.us-east-1.prod.workshops.aws/secure-windows)